思考一下终端安全的现状与防御
自从接触到威胁检测方向以来,我就一直在思考如何设计出一款强大的检测系统,能否实现比较完美且有效的效果。一方面受限于资源投入与试错成本,另一方面网络安全行业得持续投入才可能有回报,选定一个新颖方法后投入
阅读全文基于样本层面的痕迹挖掘关联研究
这篇文章主要是基于样本作为支点实现对攻击团伙或者特定属性的组织实现一些痕迹挖掘,最终目标主要是持续发现新的攻击痕迹或者趋势,在防御上能有侧重或者实现“情报先行“的理念。写文的基础来源于之前工作需要对此
阅读全文从“检测恶意”到“发现异常”:基于 Novelty Search 的威胁检测新范式
一年前有个想法,当初仅仅只是简单记录了粗糙的文字,随着对威胁检测领域地不断思考,基于认知优先与跨领域理论反证推导的思路持续对当初自己的想法进行了进一步的扩展与论证,记得2023年初自己一开始不知道威胁
阅读全文剥离威胁检测的AI“泡沫”
我有资格写一点自己对于威胁检测领域涉及AI赋能的看法,主要是源于最近三年在威胁检测方向的接触与思考。首先抛出文章的主旨或者说是“结论”,AI在威胁检测方向的应用多数是泡沫,更多时候是为了硬蹭AI这棵大
阅读全文利用数字签名增强杀毒效果
最近三年投入在威胁检测与杀毒能力建设方向,喜欢思考如何能解决最实际的网络安全问题,尽极大可能地提高检测系统的杀毒能力与效果。为此基于现实情况将以往思考过程以及想法成文记录下来,一方面是可以记录保存,另
阅读全文使用大模型提高安全分析工作效率
网络安全领域或多或少都需要对未知文件进行判断,区别点在于投入的时间以及所需的结论不同而已,例如我只需要判断某文件是黑或白即可,又或者这个文件对系统造成了什么影响?对恶意软件中涉及的技术进行还原提取并用
阅读全文EmEditor带毒事件的反思与应对
2025年12月23日EmEditor官方发布了通告,表明官网安装包被替换成恶意安装包,如果有用户下载并安装使用会引起安全风险。我从奇安信的文章里得知后依据文章提供的文件哈希下载得到这个样例文件,准备
阅读全文检测恶意子文件的困境与应对方法
如果你经常观察各类网络安全事件,一定会发现其中会出现对应不同平台的恶意软件,而这些恶意软件呢又时不时会释放出子文件,往往会关联到不定数量的恶意子文件。于是乎一旦发生一件网络安全事件就会涉及多个恶意文件
阅读全文让IDA与AI IDE协作提高分析效率
不管是因什么原因需要接触病毒逆向分析或者未知文件研判事项,就免不了需要人或专业人员手工或者半自动的方式利用既有的知识与经验完成特定的分析流程直至获得最终的结论,最终结论会体现出两种走向:1、未知文件确
阅读全文江南漫步记2 | 记南京旅行有感
阅读了明代的历史,对南京(金陵,古称石头城)便多了一份了解。当去往一个新城市或者较为陌生的城市时会忐忑,这类感受往往是开启一段新旅途的起点。落地南京禄口机场后,比较自然地跟着指示牌前进,“南京欢迎你”
阅读全文江南漫步记1 | 记南京旅行有感
旅行搭子L:“南京的美龄宫特别好看”我:“是嘛,那我得计划一下今年要去一次。我之前去过南京两次,时间是2019年8月与9月,当时是由于出差得从上海达到南京,原来时间过去这么久了。”临近清明节假期,友人
阅读全文对MSI类型恶意文件检测的思考
这几年工作的方向与恶意文件检测密切相关,踩坑与接触新的思路,期间也有了新的体会和想法,还是得在适当的时间里能记录下来自己的一些思考,方便未来回顾。这两年的时间里银狐类木马出现的频率较高,在这些恶意文件
阅读全文尝试用CNN解决MNIST数据集经典分类问题
MNIST 数据集对应的任务是手写数字识别,属于图像分类任务。具体是对0~9 的手写数字分类,能够达到接近人脑的图像识别能力。这次选择CNN算法进行小实验,卷积神经网络已经被证明对图像类任务是合适的。
阅读全文